CSG

THEME DE RECHERCHE :

AUDIT SYSTEMIQUE DE LA STRUCTURE ET DE l’ORGANISATION

GENERALE DU PRIVATE BANKING

Préparé par : M.Badr FIGUIGUI

Animateur :M.L.HANNAOUI

Juin 2004

ISCAE/CSG
Thème de recherche
 PLAN
INTRODUCTION

1. PHASE PREPARATOIRE DE LA MISSION D’AUDIT

1. PILOTAGE ET MANAGEMENT

1. SENSIBILITE DES DIRIGEANTS A LA PREVENTION DE LA FRAUDE

2. ASSURANCES

2. POSITIONNEMENT DES DEPARTEMENTS DE CONTROLE

1. RISK MANAGEMENT

2. AUDIT INTERNE

3. COMPLIANCE & DEONTOLOGIE

3. RESSOURCES HUMAINES

1. GENERALITES

2. PROCESSUS DE PAIE

3. EM BAUCHES

4. FORMATION & INFORMATION

5. CONGES, HORAIRES

6. MANDATS EXTERIEURS DES COLLABORATEURS.

7. PROCURATIONS POUR LES COLLABORATEURS

8. SURVEILLANCE DES COMPTES DU PERSONNEL (LE CAS ECHEANT)

9. SURVEILLANCE DU PERSONNEL SENSIBLE

4. INFORMATIQUE

1. POLITIQUE DE SECURISATION

2. PREVENTION PAR LES HABILITATIONS INFORMATIQUES

ISCAE/CSG
Thème de recherche
 3. AUTRES FONCTIONNALITES DE PREVENTION ET DE DETECTION DU
SYSTEME INFORMATIQUE

5. COMPTABILITE

1. SITUATION D’AUTOCONTROLE

2. SUSPENS

3. COMPTES NOSTRI

4. COMPTES CHARNIERES

5. COMPTES SENSIBLES

6. COMPTES CLIENTS (CF. DORMANTS, ACCROCHES ETC)

6. OPERATIONS DE MARCHE

1. PRINCIPE DE SEPARATION DE FONCTIONS

2. FRONT OFFICE (FO)

3. MIDDLE OFFICE

4. BACK OFFICE

7. ACHATS ET APPROVISIONNEMENTS

ISCAE/CSG
Thème de recherche
INTRODUCTION

Les activités de « Private Banking » (traduction littérale de Gestion

Privée) sont présentes dans différentes entités du Système bancaire
marocain.

Tout d'abord , on entend par fraude « toute action intentionnelle

induisant, soit des détournements, soit la dissimulation ou le
travestissement d’informations dans le but de permettre le montage ou la
réalisation d’opérations particulières ».
Bien entendu, ce thème concerne à la fois la prévention de la fraude
interne (émanant d’un salarié de l’établissement), de la fraude externe
(impliquant l’intervention de personnes extérieures au groupe) et de la
fraude mixte (acteurs internes et externes agissant de concert).

Ajoutons que les dispositifs réglementaires et les usances de place en

termes d’approches sur des sujets sensibles (comme la surveillance des
transactions du personnel par exemple) peuvent différencier selon les
banques. Or sans faire mention des particularités de chaque banque. La
jurisprudence locale et l’avis des autorités de tutelle (ou celui des
auditeurs locaux externes le cas échéant) seront donc des points clés
d’appréciation des limites données au concept de fraude.

Ces points étant établis, l’objectif d’un tel audit, qu’il soit mené par
l’Inspection Générale ou les auditeurs internes, est de détecter les zones
sensibles d’une entité en terme d’exposition à la fraude, interne ou
externe.
Ce thème répondra donc aux préoccupations suivantes :
- vérifier la fiabilité et le respect des procédures internes, notamment en
terme de séparation des fonctions entre donneurs d’ordres (front
office) et exécutants (middle et/ou back offices).
- Identifier les dysfonctionnements éventuels du dispositif de contrôle
interne, notamment en matière de sécurisation informatique et de
contrôles hiérarchiques,
- rappeler les règles liées à la prévention de la fraude et à la déontologie
de la profession bancaire ainsi que celles liées à la pratique du « Know
Your Customer ».

Après un rappel sur les documents utiles lors de la phase de

préparation de la mission d’audit, ce thème met donc l’accent sur les
principales recommandations en terme d’organisation générale (utiles à
une vue d’ensemble notamment pour le chef de mission ou le responsable
d’un audit interne) afin de minimiser les risques de fraude pour ensuite
détailler les différents processus commerciaux propres à l’univers du
Private Banking.

ISCAE/CSG
Thème de recherche
1. PHASE PREPARATOIRE DE LA MISSION D’AUDIT

1.1 Documents à collecter

Documentation générale :

1.2 Entretiens préparatoires

1.3 Travaux préparatoires

Ils constitueront essentiellement à :

- Prendre connaissance des usances et réglementations locales
concernant la gestion de fortune.
- Lire les derniers rapports des auditeurs externes et internes pour
relever les zones considérées comme fragiles en terme de prévention
de la fraude. Relever les éventuelles zones non couvertes (exceptions
du périmètre d’investigations) en terme d’audits afin de les couvrir
prioritairement.
- Analyser les procédures internes du site à auditer.
- Prendre connaissance des performances financières de l’unité, par
gestionnaire ou par site, ainsi que des principales données
commerciales (états financiers, tableaux de bord du contrôle de gestion
et commentaires associés) sur les fonds de commerce (type de clients,
de gestions, de supports d’investissement..). Avoir une vision de l’unité
dans son contexte concurrentiel. Les données atypiques repérées
durant la phase de préparation devront être explicitées pendant la
phase d’investigation et peuvent être autant d’indices d’éventuels
dysfonctionnements, un contrôle moins rigoureux étant souvent le
corollaire d’un fort développement commercial.
- Etudier les écarts réalisés par rapport aux objectifs budgétés.
- Analyser les créances douteuses et les provisions, pour essayer d’en
tirer d’éventuels facteurs communs.

2. AUDIT SYSTEMIQUE DE LA STRUCTURE ET DE l’ORGANISATION

GENERALE.

2.1. Pilotage et management

2.1.1. Sensibilité des dirigeants à la prévention de la fraude

Le management est-il sensible au risque de fraude ? Quelles
dispositions pratiques a-t-il pris face à ce risque ?
Quelles ont été ses réactions pratiques face à des cas avérés ou à des
tentatives avortées ?

ISCAE/CSG
Thème de recherche
Comment le management a-t-il réparti les rôles entre les divers acteurs
de son entité en termes de prévention de la fraude ? Une personne
«coordinatrice» a-t-elle été désignée ? Comment est organisée la
supervision de la prévention de la fraude et la remontée de l’information,
notamment sur le personnel sensible?

2.1.2. Assurances
L’entité a-t-elle adopté un dispositif de prévention de la
fraude « agréé » ?
Les réponses apportées par la Direction de l’Unité au formulaire de
proposition de la police d’assurance liée à la fraude présentent-elles des
irrégularités ? Y a-t-il une remise à jour annuelle ?

2.2. Positionnement des départements de contrôle

2.2.1. Risk Management

Y a-t-il un Risk Manager Sécurité Financière localement nommé par le DG
de l’entité ? Son positionnement dans l’organigramme assure-t-il
l’indépendance nécessaire à l’accomplissement de sa mission ?
Sa mission est-elle définie par une lettre de mission et celle-ci est-elle
émise par une autorité appropriée ?
Les collaborateurs sont-ils informés qu’ils peuvent solliciter son avis en
cas de suspicion ? Y a-t-il eu des précédents ?
Le risk manager est-il consulté lors de la mise en place de nouveaux
produits et procédures, pour rendre un avis sur les risques induits ?
2.2.2. Audit interne
L’audit interne est-il rattaché au responsable hiérarchique (voire au
Conseil d’Administration) de l’unité ? Les rapports (ou une synthèse) sont-
ils transmis directement au CA ?
Le périmètre d’audit est-il exhaustif (tous locaux, toutes succursales et
fonctions dont le contrôle interne) ?

L’audit est-il mobilisé et soutenu par la direction de l’unité ? Les

recommandations de l’audit interne sont-elles suivies par le management
en terme de prévention des risques de fraude ?

2.2.3. Compliance & Déontologie

Un Compliance Officer a-t-il été désigné ? Si oui, quel est son poids réel
dans l’organigramme et quelle est son indépendance ? Quelle est son

ISCAE/CSG
Thème de recherche
influence dans le processus de décision d’ouverture ou de fermeture de
comptes ou celui des modifications de fonctionnement d’un compte ?
Travaille-t-il avec des outils fiables et exhaustifs ?
L’entité a-t-elle défini quelles sont les opérations interdites, celles
inhabituelles, à risques ou potentiellement litigieuses devant donner lieu à
une analyse complémentaire ? Existe-t-il un processus formel
d’approbation des opérations « délicates » ?
Les rapports et notes sur les transactions suspectes sont-elles bien
conservé ?
Le code de déontologie a-t-il été diffusé à l’ensemble des
collaborateurs ?
Les collaborateurs ont-ils signé un engagement au respect du secret
bancaire, à la lutte contre le blanchiment et ont-ils pris connaissance de
leurs devoirs rappelés dans le Règlement intérieur de l’entité ?
Existe-t-il des règles précisant la politique de l’entité en matière de
cadeaux et avantages en nature, reçus ou offerts ?
2.3. Ressources humaines
2.3.1. Généralités
Les collaborateurs ont-ils conscience des risques de fraude interne ?
Les soupçons éventuels sont-ils remontés à la hiérarchie ? Le personnel
est-il raisonnablement suspicieux dans ses relations internes et dans la
validation des informations de provenance extérieure ?
En particulier, les collaborateurs de la DRH sont-ils conscients des risques
détaillés ci-contre ?
La circulation et la conservation des documents y sont-elles suffisamment
sécurisées ? En particulier, l’accès aux locaux des RH est-il limité
(badge) ? Les habilitations sont-elles à jour et notamment pour les
collaborateurs ayant quitté les RH ?

2.3.2. Processus de paie

Les principaux interlocuteurs de la DRH ont-ils une vision globale
des processus de paie (back office compris) ?
Existe-t-il des procédures écrites en matière d’enregistrement des
éléments de rémunération (fixe, variable, récurrents, exceptionnels). ? Y
a-t-il des contrôles réguliers et inopinés sur les salaires, les
régularisations, les autres éléments de paie ? Y a-t-il des contrôles
spécifiques pour détecter les salaires fictifs et les avantages indus ?
Les règles relatives à la rémunération variable ont-elles été fixées de sorte
à ce que l’intérêt de l’unité et celui du client ne puissent être contournés ?
Le personnel de la DRH demande-t-il systématiquement des documents
originaux ?

ISCAE/CSG
Thème de recherche
2.3.3. Embauches
Y a-t-il des contrôles spécifiques au niveau des embauches ? S’assure-t-on
de l’honorabilité des embauchés, notamment pour le personnel sensible
ou dirigeant, par la demande de documents probants en accord avec le
droit du travail local ?
Le personnel de la DRH demande-t-il systématiquement des documents
originaux ou certifiés conformes par des autorités compétentes ?

2.3.4. Formation & Information

Les collaborateurs sont-ils formés ou suffisamment informés ou
expérimentés à la détection des opérations potentiellement frauduleuses ?
Y a-t-il eu des débriefings à la suite (de tentatives) de fraude ?
Des formations ont-elles été menées sur les différents risques de fraude et
les moyens de s’en prémunir ? Ces formations couvrent-elles l’ensemble
des risques majeurs de l’entité ou les nouveaux produits ? Le personnel
dispose-t-il d’une documentation de référence ou d’informations régulières
sur ce thème ?
Une formation spécifique plus poussée a-t-elle été dispensée aux
responsables de la lutte contre la fraude ?

2.3.5. Congés, horaires

La DRH (ou la hiérarchie) suit-elle les congés des collaborateurs afin
d’identifier ceux ne partant jamais en congés (ou jamais en fin de mois) ?
Les collaborateurs doivent-ils prendre au moins 15 jours de vacances d’un
bloc ?
La DRH (ou la hiérarchie) exerce-t-elle une surveillance sur les horaires ?
Existe-t-il des moyens de détection des opérations réalisées hors horaires
normaux de travail, notamment sur les terminaux de paiement et les
applicatifs de back office ? En cas de constatation d’horaires atypiques,
des explications sont-elles recherchées ?

2.3.6.. Mandats extérieurs des collaborateurs.

Les collaborateurs ont-ils obligation de déclarer les mandats détenus
dans des sociétés extérieures ?
Doivent-ils déclarer les comptes de leurs proches ou les comptes dont ils
sont les ayant droits économiques ? Y a-t-il un signalement automatique à
la hiérarchie, la compliance ou la DRH par le Fichier central de l’implication
de membres du personnel dans des sociétés comme ayant droits
économiques ou mandataires ?

2.3.7. Procurations pour les collaborateurs

ISCAE/CSG
Thème de recherche
 Les collaborateurs ont-ils le droit d’avoir procuration sur un compte
(notamment un compte de proche) ?
Les procurations du personnel sur des comptes clients (autres que les
mandats de gestion) sont-elles connues du compliance officer ou des RH ?

2.3.8. Surveillance des comptes du personnel (le cas échéant)

La DRH (ou éventuellement la Compliance, la DG, l’audit,…) effectue-t-elle
des contrôles réguliers et inopinés sur le fonctionnement des comptes du
personnel ? En particulier, vérifie-t-elle que les bénéficiaires des
conditions particulières (souvent avantageuses) attachées aux comptes
du personnel sont des membres du personnel ?
Le règlement intérieur précise-t-il les conditions dans lesquelles les
collaborateurs peuvent réaliser des opérations personnelles ? A partir de
quel seuil et sur quels supports le collaborateur a à déclarer au
déontologue ou aux RH les opérations de marché réalisées à titre
personnel ?
Les « achats/ventes » dans une même journée, les opérations à terme et
les opérations sur les produits négociés professionnellement sont-ils bien
interdits par le Règlement intérieur.
Existe-t-il une liste de collaborateurs dits « sensibles » astreints à
davantage de restrictions sur leurs propres investissements ? Les
collaborateurs éventuellement inscrits en ont-ils été avisés ? La liste est-
elle à jour ?

2.3.9. Surveillance du personnel sensible

Y a-t-il un statut de personnel « sensible » ? Existe-t-il une
surveillance (ou un suivi informel) ultérieure à l’embauche des personnels
sensibles ?
Y a-t-il adéquation entre les objectifs des responsables commerciaux et
leurs moyens (afin d’éviter, par exemple, que des objectifs trop ambitieux
génèrent une prise de risques excessive)

2.4. Informatique
2.4.1. Politique de sécurisation
La direction de l’entité fait-elle des choix visant à réduire l’exposition
à la fraude en matière de sécurisation informatique ?
Existe-t-il une réflexion sur la sécurité informatique, intégrant la
possibilité des fraudes internes ? Existe-t-il des procédures d’accès
restreints aux postes de travail et aux programmes ? Y a–t-il des
consignes relatives à la protection des mots de passe et une impossibilité
logique de changement de mots de passes ?

ISCAE/CSG
Thème de recherche
2.4.2. Prévention par les habilitations informatiques :
La construction du système de gestion des habilitations respecte-t-elle le
principe de séparation des fonctions (validation obligatoire des opérations
par une personne différente de celle ayant saisi) ?
Qui définit, valide et suit les profils utilisateurs ? A quelle fréquence les
profils et les identités des utilisateurs sont-ils vérifiés ?
A même poste, a-t-on les mêmes habilitations ? Comment s’expliquent les
éventuelles exceptions ?
Les hiérarchiques ont-ils des profils limités à leur rôle de décideur ? Est-il
interdit aux personnes chargées de l’audit interne de passer des
écritures ?
Lors des changements de poste, y a-t-il annulation des précédentes
habilitations ? Comment l’administrateur est-il au courant des
changements de poste, des départs ou des arrivées ?
2.4.3. Autres fonctionnalités de prévention et de détection du système
informatique
Outre les habilitations, le système infomatique intègre-t-il des
contrôles préventifs :
- via des blocages informatiques lorsque une autorisation hiérarchique
est requise (projection des délégations dans les SI)
- via le recoupement d’informations entre les bases de données internes
(ex : l’encaissement d’un bon émis par l’entité est-il soumis
préalablement à la vérification de la non opposabilité sur ce bon ) ?
Existe-t-il des contrôles détectifs sur l’activité commerciale (par
exemple : liste d’exceptions ou liste d’alerte sur les transactions
inhabituelles) ou sur les écritures passées hors systèmes intégrés ?

2.5. Comptabilité
Beaucoup de fraudes auront une traduction comptable. Les points de
contrôle à dérouler font partie d’un mode opérationnel particulier auquel
l’auditeur se référera.
2.5.1. Situation d’autocontrôle
Y a-t-il des personnes en position d’être les seules à maîtriser la
comptabilité de leur service ? Si oui, quel contrôle a posteriori est exercé
par le Service comptable ou l’audit ? Est-il matérialisé et satisfaisant ?

2.5.2. Suspens
Les suspens sont-ils reportés aux départements concernés pour
traitement ? Selon quelle fréquence ?

ISCAE/CSG
Thème de recherche
Qui vérifie les suspens au-delà d’un certain montant ou d’une certaine
durée ? La surveillance devient-elle plus stricte avec les suspens
vieillissants ?
Existe-t-il des indicateurs d’alerte, de suivi ou des listes de suspens à
traiter (hiérarchisés par importance) ?
Ces comptes font-ils l’objet de justifications régulières et documentées ?

2.5.3. Comptes nostri

Y a-t-il un pointage systématique de ces comptes par la
Comptabilité ? En particulier, les suspens sont-ils traités
quotidiennement ?

2.5.4. Comptes charnières

Pour ces comptes uniquement mouvementés par la Comptabilité, les
mouvements sont-ils rapprochés des documents justificatifs ?
Y a-t-il un suivi des suspens, un bilan des opérations non matchées et une
réconciliation faite entre la comptabilité et les opérations proprement
dites ?
2.5.5. Comptes sensibles
Pour les comptes placés en situation de secret et accessibles avec
une habilitation particulière, existe-t-il un suivi indépendant des personnes
susceptibles de les mouvementer ? En particulier, y a-t-il un rapport édité
sur les comptes sans mouvement depuis plus de 45 jours ?

2.6. Opérations de marché

2.6.1. Principe de séparation de fonctions

Existe-t-il une indépendance totale entre le FO (qui initie les

opérations), le BO (qui saisit les opérations dans les systèmes de gestion),
les personnes chargées des règlements et le secteur comptabilité ? Des
contrôles spécifiques sont-ils mis en œuvre pour s’en assurer ?

2.6.2. Front Office (FO)

Est-il interdit aux traders et à leurs assistants d’effectuer les tâches
suivantes :
a. rédiger, valider et envoyer des confirmations ou des contrats de
trading ?

ISCAE/CSG
Thème de recherche
b. enregistrer les opérations de trading, tenir les livres de positions et des
échéanciers, préparer des rapports d’activité quotidiens et des états de
positions (à l’exception des notes pour informer les traders sur les
positions prises) ?
c. réévaluer les positions régulièrement et déterminer les gains ou les
pertes pour les comptes officiels
d. dénouer les opérations ou effectuer d’autres fonctions de paiement ou
de réception de fonds, telles que l’émission ou la réception et le
traitement d’opérations par câble ou par courrier, des effets ou des lettres
de change.
e. recevoir les confirmations des contreparties et les marier avec les
contrats ou les avis de courtiers, suivre les confirmations en suspens et
corriger les erreurs qui s’y rapportent et autres fonctions de traitement
similaires.
f. gérer et rapprocher les comptes Nostri et autres comptes débiteurs et
créditeurs concernés par les activités de trading.
g. préparer, approuver et enregistrer toute autre écriture comptable.
Le personnel du FO est-il exclu des listes de signatures autorisées et
des personnes habilitées à :
- ouvrir des comptes au nom de la Banque auprès de confrères ou de
courtiers
- initier des transferts ou des mouvements sur ces comptes ?

Une unité indépendante de la salle est-elle chargée de revoir les

rapports quotidiens pour détecter les dépassements de limites de trading
autorisées ?

Accès Est-ce que l’accès à la salle des marchés est réservé aux personnes
autorisées ?

Systèmes Est-ce que les PC et autres systèmes de dealing sont

déconnectés en dehors des heures de travail ?

Opérations internes Les opérations internes sont-elles conclues entre

les desks sur la base de décisions de gestion indépendantes ? Autrement
dit, les opérations internes entre les desks animés par la même hiérarchie
sont-elles bien interdites ?
Ces opérations sont-elles contrôlées en permanence ?

2.6.3. Middle Office

ISCAE/CSG
Thème de recherche
Stocks Le MO calcule-t-il les risques et les résultats sur un stock
validé chaque jour par un secteur (BO) indépendant du FO ?

L’unité a-t-elle mis en place une procédure permettant de calculer

quotidiennement les gains ou les pertes comptables indépendamment du
FO ?

Calcul des limites Si les limites sont calculées par un système :

Les calculs du système ont-ils été validés par un secteur indépendant du
FO et du MO ?
- Le périmètre (desk, portefeuille) des états de risque est-il vérifié
régulièrement pour s’assurer que toutes les opérations sont bien prises
en ligne de compte ?
- L’accès à la codification du système de calcul et d’édition des états de
risques est-il interdit au FO ?
Calcul des résultats Si les résultats sont calculés par un système :
- Les calculs effectués par le système ont-ils été validés par un secteur
indépendant du FO ?
- Le périmètre (desk, portefeuille) de l’état de résultats est-il vérifié
régulièrement pour s’assurer que toutes les opérations sont prises en
compte ?
- L’accès à la codification du système de calcul et d’édition des états de
résultats est-il interdit au FO ?

2.6.4. Back Office

Le BO Est-il hiérarchiquement indépendant du FO ?
Processus de confirmation Le BO est-il le seul secteur chargé de l’envoi
et de la réception des confirmations ?
La réception ou l’envoi de confirmations par le FO est-il strictement
interdit(e) ?
Le processus de confirmation est-il automatisé ? Dans l’affirmative, est-il
suffisamment sécurisé (accès à Swift, au télex.) ?
Paiements Les livraisons et les règlements en espèces sont-ils effectués
en temps opportun ?
Des procédures appropriées en matière de contrôle interne et de gestion
ont-elles été mises en place pour le traitement des flux de paiement du
fait de la nature et de l’importance des risques inhérents aux opérations
concernées ?

ISCAE/CSG
Thème de recherche
 Les éléments utilisés pour les ordres de paiement (codes Swift, clefs
télex…) offrent-ils une sécurité suffisante ?
Les systèmes utilisés génèrent-ils automatiquement des ordres de
paiement, des avis de réception de fonds pour tous les produits traités ?
Les ordres de paiement sont-ils intégralement remplis ?
Les tâches sont-elles suffisamment séparées dans le processus de
règlement ?
2.7. Achats et approvisionnements
Existe-t-il au sein de l’entité une fonction centrale Achats, possédant
une vue d’ensemble sur les processus d’achats ?
L’entité respecte-t-elle la logique de séparation de fonctions (entre
expression des besoins, négociation, contractualisation, approbation des
factures, comptabilisation, paiement, traitement courrier et contrôle a
posteriori) ?
Y a-t-il pluralité des intervenants, au moins dans le traitement des
opérations significatives pour l’entité ?
Existe-t-il des procédures satisfaisantes en matière d’achat et de
comptabilisation des dépenses (intègrent-elles un code éthique ? sont-
elles conformes aux normes du groupe ? exhaustives ? régulièrement
mises à jour ? …) ?
Utilise-t-on systématiquement des originaux et le mode de circulation et
de conservation des documents est-il suffisant à l’égard de la falsification
et comme piste d’audit ?
Le choix des fournisseurs fait-il l’objet d’études préalables, de mise en
concurrence ou de procédures d’appels d’offres en regard du contexte
législatif local ? Existe-t-il un suivi sur les fournisseurs ? Comment sont
gérées les accords-cadres du groupe ?
Les contrôles sont-ils efficients (demandes d’achat formalisées et validées
par la fonction achats, émission et approbation des bons de commande,
contrôle des factures, suivi des avoirs fournisseurs, revue indépendante
des contrats complexes, contrôles comptables) ?

Les ouvertures comportent-elles systématiquement l’exhaustivité

des documents prévus?
Ces documents demandés intègrent-ils tous les documents souhaitables
selon la profession

ISCAE/CSG
Thème de recherche